目錄

1. Wireshark的簡介
2. Wireshark面向的用戶
3. Wireshark的下載安裝
4. Wireshark抓取一個流量包

內容

　　1.Wireshark的簡介

　　Wireshark（前稱Ethereal）是一個數據包分析軟件。數據包分析軟件的功能是擷取網絡數據包，並盡可能顯示出最為詳細的數據包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。（wireshark只能用來進行網絡的監控，而不能用來對流量包進行修改）

　　什麽是數據包？WinPCAP？網卡？

• 數據包：計算機的網絡通信就是二進制數據的傳輸，但是計算機不可能識別任意的二進制數據，所以統一規定了以數據包這種格式進行傳輸。可以把數據包比喻成平常的信封，既會有地址、郵政編碼等規定格式（通信規定好的格式），也有信封內容（傳輸的數據）
• WinPCAP：提供了一個編程接口，可以為win32應用程序提供訪問網絡底層的能力
• 網卡：無論是外界傳過來的數據流量，還是電腦傳到外界的數據流量，都要經過網卡的處理。

　　2.Wireshark面向的用戶

• 網絡管理員用來解決網絡問題
• 網絡安全工程師用來檢測安全隱患
• 開發人員用來測試協議執行情況
• 用來學習網絡協議

　　在工作中，需要查看網絡情況的地方

　　3.Wireshark的下載安裝

• 最新版：https://www.wireshark.org/
• 可用於xp的版本（官方說是1.10版本以下）：https://www.wireshark.org/download/win32/all-versions/

　　1.首先打開網站，然後找到適用於xp的版本(1.10版本以下)，然後下載

　　　2.剛下載下來是u3p格式的文件，這裏直接修改為zip格式然後解壓出來，運行wireshark.bat就行

　　4.Wireshark抓取一個流量包

• 選擇想要捕捉的接口，要清楚自己想要捕獲的是那部分的流量信息。那什麽是接口？我們該如何進行選擇呢？接口可以簡單的理解為系統為本地與外界進行溝通的橋梁，一般系統中存在的接口有以太網(網線)、WLAN(WiFi)和其他虛擬接口。在進行選擇是可以通過本機用的是WiFi或網線進行選擇，如果先捕獲的是虛擬機的流量，也可以選擇虛擬網絡接口

• 捕捉流量時用到的主要顯示窗口：顯示過濾器、封包列表、封包詳細信息、16進制數據

• 保存捕捉到的流量：先停止流量的捕捉，然後選擇文件->另存為即可，保存為pcap格式。什麽是pcap格式？pcap格式就是數據包存儲格式，現在wireshark在最新的版本中推出了pcapng數據包格式

Wireshark簡單使用教程(上)